Kur mot regjeringens IT-mareritt

- Slik kan de kvitte seg med sårbarhetene, ifølge lukket sikkerhetsmiljø.

Det lukkede sikkerhetsmiljøet som i fjor høst avdekket alvorlige sårbarheter i regjeringens datasystemer har tilbudt bistand til norske myndigheter.

De fikk aldri svar på henvendelsene. QCIC ønsker å gi bort «verdifull informasjon om hvordan myndighetene selv kan ordne opp» i det sikkerhetsmessige uføret i regjeringskvartalet.

digi.no har i flere uker vært i dialog med den hemmelighetsfulle organisasjonen.

QCIC (Quis Custodiet Ipsos Custodes, «hvem vokter vokterne») beskriver seg som uavhengige spesialister i informasjonsbeskyttelse, og oppgir at de har jobbet for en rekke utenlandske myndigheter og sikkerhetsmiljøer, i hovedsak for multinasjonale banker og teleselskaper.

Her følger en forenklet versjon av sikkerhetsrådene de ønsker å viderebringe til norske myndigheter:

  • Slutt å feie problemene under teppet. - Når vi kan bevise at systemene er sårbare virker det bare dumt å si det motsatte, sier George Bondegard fra QCIC til digi.no. Bondegard er et alias.
  • Lei inn uavhengige eksperter. - Så lenge norske myndigheter benytter seg av konsulenthjelp fra «vennene sine» vil de bare få råd fra mennesker som er ute etter flere oppdrag, mer kontroll og mer penger.
  • De interne teknikerne må læres opp i hvordan de konfiguerer løsningene de benytter på en skikkelig måte. Det inkluderer kompetanse i hvordan man herder og fininnstiller systemene.

- Dette punktet går på beskyttelse når man er koblet rett mot internett. I dag benytter de bare standardinstallasjoner av uegnet programvare. Så setter de en brannmur foran løsningene i håp om at det holder. Denne modellen gjør det ikke særlig vanskeligere å bryte seg inn, bare mer komplisert å administrere.

- Å sette opp serverne på riktig måte gjør ikke bare infrastrukturen mindre komplisert og sikrere, det blir også langt billigere.

  • Det er viktig å bruke såkalte «kartleggere» (mappers) for det overordnede tekniske ansvaret for infrastrukturen.

- I praksis har du to typer teknikere. Majoriteten er stablere (stackers) og det finnes få kartleggere. Det er dessverre bare førstnevnte man får gjennom opplæringen som gis på vanlige utdanningsintitusjoner som skoler, universiteter og IT-høgskoler, hevder Bondegard.

QCIC har følgende definisjon på en «stabler»: - En som deler opp arbeidet i mindre deler, som utføres én oppgave av gangen. Håpet er å løse utfordringen på sikt. De trenger ikke, eller ønsker egentlig ikke å forstå hva de forsøker å oppnå. Dermed mislykkes de ofte med målsetningen og ender opp med å skylde på andre ting.

- «Kartleggere» samler derimot inn alle nødvendige opplysninger for hele prosjektet i forkant. De sjekker eventuelle avhengighetsforhold til andre systemer, og finner deretter den beste måten å oppnå resultater på, før de setter i gang med å faktisk endre på noe. Slike personer kan raskt avdekke problemer i komplekse infrastrukturer.

  • Gjør det så enkelt som mulig. - Leverandører elsker å tilby kompliserte «løsninger» uten å oppgi all inside-informasjon om hvordan de fungerer, for deretter å stable løsninger over hverandre.

- Å kjøpe slike løsninger innebærer at de brukes som ferdige byggeklosser. Det betyr igjen at menneskene som administrerer dem ikke forstår hva de faktisk gjør. Resultatet av dette er at de mister interessen for arbeidet, fordi det ikke lenger er stort de kan gjøre. Det betyr også at «sikkerheten» er elendig allerede fra starten av, eller «by default».

Det siste rådet er en kraftig advarsel mot det de kaller en farlig monokultur innen hele IT-sikkerhetsbransjen.

Her spares knapt noen. QCIC hevder at konsulentbistanden som tilbys fra aktører som Nasjonal sikkerhetsmyndighet (NSM), ellers for den saks skyld Ergogroup eller Watchcom, alle er del av den samme skolen:

- De gir alle de samme utdaterte, teoretiske og byråkratiske anbefalingene, som virker mot sin hensikt i møtet med komplekse IT-systemer i rask endring, sier Bondegard.

Leide inn Ernst & Young

Det er Fornyingsdepartementet (FAD) og underliggende etat Departementenes Servicesenter (DSS) som er ansvarlig for IT-systemene i regjeringskvartalet.

Begge har måttet tåle kraftig kritikk for alvorlige brudd på datasikkerheten, ikke minst fra Riksrevisjonen. FAD har uttalt at de i høyeste grad er opptatt av å følge opp sikkerheten i regjeringskvartalet.

- Vi har satt i gang en rekke tiltak overfor Departementenes servicesenter og engasjert Nasjonal sikkerhetsmyndighet til å gjennomføre en grundig gjennomgang av systemene. Vi har også leid inn en ekstern konsulent som skal bistå Fornyingsdepartementet i oppfølgingen av DSS, sa kommunikasjonssjef Frode Jacobsen i FAD til digi.no tidligere i januar.

Revisjonsselskapet Ernst & Young vant sistnevnte oppdrag i en anbudskonkurranse.

digi.no har ønsket å komme i kontakt med IT-konsulenten som skal bistå regjeringen i sikkerhetsarbeidet, blant annet for å høre vedkommendes syn på rådene fra QCIC. Men forespørselen om dette blir avvist.

- Vi kan bekrefte at vi har fått dette oppdraget, men har ingen kommentarer utover det, sier kommunikasjonssjef Roar Valderhaug i Ernst & Young til digi.no.

QCIC har ingen tro på at dette konsulentoppdraget vil hjelpe. Snarere er dette nok et tilfelle av «keiserens nye klær», hevder de.

- Det virker som om norske myndigheter foretrekker å være dårlig beskyttet. Det er nærmest slik at de heller gir masse av skattebetalernes penger til Ernst & Young for å dekke over ting, fremfor en mindre investering som fikser problemene. Nå holder de seg til dem som hittil har vist at de ikke greier å håndtere sikkerheten deres, sier QCIC-talsmann Udo Gallé til digi.no.

Nederlandske Udo Gallé er den eneste QCIC-representanten som står frem med sitt virkelige navn. De øvrige medlemmene av organisasjonen opererer med alias, noe de hevder er nødvendig av hensyn til oppdragene de utfører.

    Les også:

Til toppen